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(57) Abstract 



The invention relates to a device and a 
method for the secure electronic transmission of 
data via the server of a network. According to 
said method the addressee of the data does not 
have to be known at the time the data are made 
available. The device, which has to be installed 
in the network server, comprises an input unit for 
receiving coded data (10a) and an external key. 
The device also comprises a unit (2) for decoding 
the coded data by means of an internal key and 
for the renewed encoding of the data using the 
external key. The internal key is not accessible 
from outside the device. The data (10b) encoded 
by means of the external key can be retrieved at 
the level of an output unit. The data can thus 
be read by the holder of the external key which 
in the course of a data request is transferred to 
the device together with the data, said holder also 
being the exclusive holder of the corresponding 
internal key. 




5 ELECTROM AQNETICA LLY SHIELDED MODULE 

(57) ZiLsammenfassung 



Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zur sicheren elektronischen Dateniibertragung Ober den Server 
eines Netzwerkes, bei dem der Adressat der Daten zum Zeitpunkt der Bereitstellung der Daten noch nicht bekannt sein mu8. Die Vorrichtung, 
die am Server des Netzwerkes installiert werden muB, weist eine Eingangseinheit zum Empfangen von verschlOsselten Daten (10a) sowie 
eines externen Schltlssels auf. Weiterhin ist in der Vorrichtung eine Einheit (2) zum Entschlilsseln der verschlOsselten Daten mit einem 
internen SchlOssel und zum erneuten Verschlilsseln der Daten mit dem externen Schliissel vorgesehen. Der interne Schlussel ist von 
auBerhalb der Vorrichtung nicht zuganglich. An einer Ausgangseinheit kflnnen die mit dem externen Schliissel verschlOsselten Daten (10b) 
abgegriffen werden. Die Daten sind damit fur den Inhaber des bei einer entsprechenden Datenanforderung mit den Daten an die Vorrichtung 
Obergebenen externen SchlOssels und damit auch alleinigen Inhaber des zugehorigen internen SchlOssels leabar. 
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Vorrichtung und Verfahren fur die sichere 
elektronische Datenubertragung 



Die Erfindung betrifft eine Vorrichtung sowie ein 
Verfahren fur die sichere elektronische Daten- 
5 ubertragung zwischen Endgeraten, die zeitweilig oder 
permanent rait einem Server verbunden sind. 

Das Verfahren und die Vorrichtung sind insbeson- 
dere fur die elektronische Weitergabe medizinischer 

10 Daten sehr gut geeignet. 

Medizinische Daten stellen aus der rechtlichen 
Sicht des Datenschutzes eines der schlitzenswertesten 
Guter uberhaupt dar. Fur die elektronische Weitergabe 
medizinischer Daten uber offentlich zugangliche Netze, 

15 wie beispielsweise das Internet oder ein von auSen 
zugangliches Verbundnetz, sind daher Sicherheits- 
maSnahmen vorzusehen, die den bestmoglichen Schutz 
solcher Daten gewahrleisten . 

20 Die grundsatzlich fur die Datenubertragung durch 

offentliche Netze verfiigbaren Sicherheitsmechanismen 
betreffen vor allem die Nutzung kryptographischer 
Verfahren zur Verschlusselung der Daten. Hierbei 
werden in der Regel kryptographische Standardverf ahren 
5 mit sicherem Austausch von Schliisseln entsprechend 

X.509 eingesetzt. Dabei handelt es sich urn symmetrische 
Verschliisselungsverf ahren, insbesondere fur die 
Verschlusselung grower Datenmengen, und urn asym- 
metrische Verschlusselungsverf ahren unter Verwendung 
0 eines offentlichen (sog. "public key") und eines 
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privaten Schliissels (sog. "private key"), wie das weit 
verbreitete RSA. 

Die vorliegende Erfindung betrifft die Ubertragung 
5 von Daten von einem Netzteilnehmer (Absender) zu einem 
anderen (Adressat bzw. Empf anger) uber die Zwischen- 
speicherung auf einer Datenstation bzw. einem Server. 
Wahrend bei der elektronischen Datenubertragung uber 
das Netz von einem Teilnehmer zu einem bereits be- 

10 kannten Adressaten ein asymmetrisches Verschlusselungs- 
verfahren unter Verwendung des offentlichen Schliissels 
des Adressaten zur Verschlusselung der Daten eine hohe 
Datensicherheit bietet, kann diese Vorgehensweise bei 
einem zum Zeitpunkt der Bereitstellung der Daten noch 

15 unbekannten Adressaten nicht eingesetzt werden. 

Ein solcher Fall ergibt sich beispielsweise im 
medizinischen Bereich, wie weiter unten im Ausfiihrungs- 
beispiel naher erlautert wird, wenn ein Arzt einem 
Patienten eine Uberweisung an einen Kollegen ausstellt 

20 und die fur den Arztkollegen bestimmten medizinischen 
Daten des Patienten auf elektronischem Wege bereit- 
stellen will. Die Identitat des Kollegen, den der 
Patient schliefelich aufsuchen wird, ist zu diesem 
Zeitpunkt in vielen Fallen noch nicht bekannt . 

25 

Die Aufgabe der vorliegenden Erfindung besteht nun 
darin, eine Vorrichtung und ein Verfahren fur die 
sichere elektronische Datenubertragung uber den Server 
eines Netzwerkes bereitzustellen, bei dem der Adressat 
3 0 der Daten zum Zeitpunkt der Bereitstellung der Daten 
noch nicht bekannt sein muS. 
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Die Aufgabe wird mit der Vorrichtung und deia 
Verfahren nach den Anspruchen 1 und 12 gelost. 
Vorteilhafte Ausgestaltungen und Weiterbildungen des 
Verfahrens und der Vorrichtung sind Gegenstand der 
5 Unteranspriiche. 

Die erf indungsgema£e Vorrichtung, die am Server 
des Netzwerkes installiert und betrieben werden mufi, 
weist eine Eingangseinheit zum Empfangen von verschliis- 
selten Daten (des Absenders) sowie eines externen 
Schlussels (des Empfangers) auf. Weiterhin ist in der 
Vorrichtung eine Einheit zum Entschliisseln der ver- 
schlusselten Daten mit einem internen Schlussel und zum 
erneuten Verschliisseln der Daten mit dem externen 
Schlussel vorgesehen. Der interne Schlussel ist inner- 
halb der Vorrichtung in irgendeiner technischen Form 
abgelegt und von au&erhalb der Vorrichtung nicht 
zuganglich. An einer Ausgangseinheit konnen die mit dem 
externen Schlussel verschlusselten Daten abgegriffen 
werden . 

Es versteht sich von selbst, da£ die von der 
Vorrichtung zu verarbeitenden Daten so verschlusselt 
sein mlissen, daS sie mit dem internen Schlussel der 
25 Vorrichtung entschlusselt werden konnen. In der 
Vorrichtung werden somit nur fur die Vorrichtung 
lesbare verschllisselte Daten mit einem externen 
Schlussel zur Neuverschlusselung umgewandelt in neu 
verschliisselte Daten, die fur den Inhaber des bei einer 
30 entsprechenden Datenanf orderung mit den Daten an die 
Vorrichtung ubergebenen externen Schliissels lesbar 
sind. 



15 



WO 00/59155 PCT/DE00/00189 

- 4 - 

Hierbei ist es grundsatzlich moglich, die zu 
ubertragenden Ursprungsdaten, d.h. beispielsweise 
medizinische Daten, von der Vorrichtung entschlusseln 
sowie neu verschlusseln zu lassen. Bei dem bevorzugten 
5 Einsatz der Vorrichtung, wie weiter unten ausgefiihrt, 
werden allerdings nicht die Ursprungsdaten selbst, 
sondern nur deren in verschlusselter Form ttbertragener 
Schliissel mit der Vorrichtung neu verschlusselt . 

10 In einer bevorzugten Ausfuhrungsf orm weist die 

Vorrichtung zum Entschlusseln der verschliisselten Daten 
sowie zur Neuverschlusselung der Daten eine Chipkarte 
als Trager des internen Schlussels auf . Bei dieser 
Chipkarte handelt es sich vorzugsweise urn eine Chip- 

15 karte eines zertif izierten Trust-Centers. 

In einer weiteren Auspragung konnen Verschliisse- 
lung und Entschlusselung ganz oder teilweise direkt 
durch eine aktive Chipkarte ausgefiihrt werden. 

20 Eine weitere Moglichkeit besteht darin, eine nach 

dem Informations- und Kommunikationsdienste-Gesetz 
sowie Signaturgesetz geeignete Schaltung, gegebenen- 
falls Software-gesteuert als Einheit zur Ver- und 
Entschlusselung einzusetzen. 

25 

Kern der erf indungsgemafcen Losung ist eine Um- 
schlusselung der Daten oder eines den Daten anhangenden 
Schlussels, im folgenden als Session-Key bezeichnet, so 
daS die Daten fur einen der berechtigten Kommunika- 
30 tionspartner, den Adressaten, lesbar werden. Dazu wird 
in der bevorzugten Ausf iihrungsf orm des Verfahrens ein 
fur die symmetrische Verschlusselung der Daten verwen- 
deter Session-Key mit dem im Server vorhandenen priva- 
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ten Schlussel des Servers entschliisselt und sofort 
wieder mit dem offentlichen Schlussel des die Daten 
anfordernden Empf angers bzw. Adressaten verschliisselt . 
Dieser Schlussel ist vorzugsweise - z.B. zusammen mit 
der Teilnehmer-ID und der ISDN-Nummer - in einem Ver- 
zeichnis der beteiligten und berechtigten Netzteil- 
nehmer auf dem Server gespeichert und kann bei Bedarf 
iiber die Dienste eines Trust-Centers jederzeit aktuali- 
siert werden. 



Ein Entschlusseln der Ursprungsdaten selbst ist 
bei diesem Verfahren nicht notwendig. Zum spateren 
Entschlusseln der Daten mu£ nur der - jetzt fur den 
Empfanger lesbare - Session-Key bekannt sein, der bei 
15 der Verschlusselung beispielsweise per Zufall generiert 
wurde, wie im Ausfuhrungsbeispiel naher erlautert wird. 

Auf diese Weise wird vermieden, daS die Daten 
selbst zu irgendeinem Zeitpunkt auf dem Server in 

20 unverschlusselter Form vorliegen. Im Detail bedeutet 
dies, daS auf die verschliisselten Daten wahrend des 
Umschlusselungsprozesses iiberhaupt kein Zugriff 
erfolgt. Verarbeitet wird lediglich der fur Ihre 
Verschlusselung verwendete Session-Key, der in einem 

25 geschlossenen ProzeS aus einer nur fur den Server bzw. 
die am Server installierte erf indungsgemaSe Vorrichtung 
lesbaren in eine fur den Anfordernden lesbare Form 
"umgeschlusselt" wird. 

30 Der Einsatz der Vorrichtung soil im nachf olgenden 

anhand eines Ausfuhrungsbeispiels in Verbindung mit der 
Figur naher erlautert werden. Dieses Beispiel betrifft 
einen Anwendungsf all im medizinischen Bereich, der ein 
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bevorzugtes Anwendungsf eld der vorliegenden Erfindung 
darstellt . 

Hierbei werden in Kombination mit der erfindungs- 
gemaSen Vorrichtung sowie dem erf indungsgemafeen 
5 Verfahren weitere, fur sich genommen bereits 'bekannte 
Sicherheitsma&nahmen beschrieben und vorgenommen, die 
insgesamt eine hochsichere Datenweitergabe in dem 
genannten Anwendungsf all gewahrleisten. 

Es versteht sich von selbst, da& die nachfolgend 
10 angefiihrten Kombinationen der einzelnen Sicherheits- 

maSnahmen unabhangig voneinander sind, so da£ auch die 
Auslassung eines dieser Schritte, oder der Ersatz durch 
andere bekannte SicherheitsmaSnahmen, moglich sind. 

15 Das Beispiel betrifft die elektronische Weitergabe 

medizinischer Daten uber offentliche Netze. Die hierfur 
eingesetzten Sicherheitsmaftnahmen gewahrleisten den 
bestmoglichen Schutz dieser sensiblen Daten. Ein 
typischer Vorgang in diesem Bereich beginnt in der 
20 Praxis des Arztes eines Patienten. Der Arzt uberweist 
den Patienten an einen Facharzt, der diesem aufgrund 
des freien Arztwahlrechtes des Patienten zu diesem 
Zeitpunkt noch nicht bekannt ist. Ublicherweise wurden 
dem Patienten bisher hierzu in einem verschlossenen 
2 5 Umschlag die fur den Facharzt wichtigen medizinischen 
Daten zusammen mit der Uberweisung ubergeben, der diese 
dem von ihm gewahlten Facharzt dann weitergegeben hat. 

Wollte der Arzt diese Daten dem Kollegen auf 
elektronischem Wege ubermitteln, so mufete er bisher die 
30 Identitat dieses Kollegen zum Zeitpunkt der Uberweisung 
bereits kennen. Dies ist mit dem im folgenden geschil- 
derten Verfahren unter Einsatz der erf indungsgemaften 
Vorrichtung und des erf indungsgema£en Verfahrens nicht 
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mehr erf orderlich . Das zugrunde liegende System sieht 
zumindest eine zentrale Datenstation, einen Server, 
vor, zu dem von Datenstationen der am System beteilig- 
ten Stellen, im vorliegenden Fall den externen Rechnern 

5 der Arzte, eine Verbindung hergestellt werden kann. 
Bezogen auf den oben dargestellten Fall bedeutet dies, 
da£ der iiberweisende Arzt die fur den (noch unbe- 
kannten) Kollegen vorgesehenen medizinischen Daten des 
Patienten auf dem Server ablegt, von dem sich der 

0 Kollege diese Daten dann zu einem spateren Zeitpunkt 
holen kann. 

Die Beschreibung der Sicherheitsmechanismen geht 
dabei zunachst von allgemeinen Sicherheitsaspekten des 
15 Systemdesigns aus, beschreibt dann die allgemeine und 
spezielle Nutzung kryptographischer Verfahren und 
schliefclich die Einbindung und technische Umsetzung der 
erf indungsgemaSen Vorrichtung. 

20 Jede Form des aktiven Lesens von Daten erf order t 

ein - gegebenenfalls eingeschranktes - Zugrif f srecht 
auf die Datenstation, auf der die Daten gespeichert 
sind. Im vorliegenden Beispiel gestattet das System 
keinen lesenden Zugrif f auf den Server, sondern nur das 

25 Absetzen einer Datenanf orderung durch die beteiligten 

Stellen. Bei nachgewiesener Empf angsberechtigung werden 
die Daten dem Anforderer, im vorliegenden Beispiel also 
dem die Daten anfordernden Facharzt, uber das Netz 
zugeschickt. Dadurch werden direkte Zugrif fe einer 

3 0 externen Stelle auf Datenbestande des Servers weitest- 
gehend unterbunden. 
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Das beispielhafte Konzept verwendet fur die 
Kommunikation eine Kommunikationsart , die als "remote 
procedure call" (RPC) bekannt ist. Dabei wird vom 
externen Rechner eine Aufforderung an den Server 
5 gesendet, eine bestimmte Funktion auszufiihren und das 
Ergebnis dieser Funktion als Resultat zuriickzugeben. 
Der vorteil dieser Kommunikation ist, da£ auf dem 
Server eine problemspezif ische Applikation lauft, die 
nur genau die Operationen ausfiihrt, die in der System- 
10 funktion vorgesehen sind. Daruber hinausgehende 

Funktionen, wie z.B. ein direkter Dateizugrif f , sind 
auf diese Weise absolut sicher ausgeschlossen . 

Das Konzept sieht weiterhin vor, dafi ein 
15 Netzteilnehmer zum Aufbau einer Verbindung zunachst 
immer eine Auf f orderung zura Verbindungsaufbau an den 
Server schickt. Bei dieser Operation selbst erfolgt 
noch kein Verbindungsaufbau. Es ist vielmehr vorge- 
sehen, diese Anforderung als sogenannte "D-Kanal- 
20 Nachricht" zu realisieren. Dabei handelt es sich um 
eine spezielle Funktion des ISDN-Netzes, bei der noch 
vor dem "Annehmen" eines Gespraches - damit auch 
gebiihrenfrei - nur die Kennung bzw. Nummer des Anrufers 
ubermittelt wird. AnschlieSend pruft der Server die 
2 5 ubereinstimmung dieser Nummer mit einer am Server 

gespeicherten Teilnehmerliste, und nur wenn die uber- 
mittelte Nummer des Anrufers zu einem "berechtigten" 
Netzteilnehmer gehort, initiiert der Server einen Riick- 
ruf iiber eine in einer internen Datenbank gespeicherte 
30 Nummer. 

Der besondere Sicherheitsaspekt dieser Losung- 
besteht darin, daS zwar die im D-Kanal ubertragene 
Nummer des Anrufers unter bestimmten Umstanden 



WO 00/59155 



PCT/DE00/00189 



- 9 - 

falschbar ( "maskierbar ■ ) ist, die Verbindung durch den 
Server aber in jedem Fall mit dem tatsachlichen Inhaber 
dieser Nummer, also einen berechtigten Netzteilnehmer 
aufgebaut wird. Damit wird im ungunstigsten Falle ein 
5 Verbindungsaufbau zu einem Netzteilnehmer angestofcen, 
der diesen gar nicht angefordert hatte, jedoch zum 
Kreis der Berechtigten gehort. In einem derartigen Fall 
kann es zu keiner Datenubertragung kommen, da der 
Rechner des unauf gef ordert zuriickgeruf enen Teilnehmers 
10 keine Datenanf orderung bereithalt, und damit auch nicht 
zum Verbindungsaufbau bereit ist. 

Das vorliegend beschriebene beispielhaf te Konzept 
basiert darauf, Dokumente im Sinne eines "Mailings" 

15 einmalig zu ubertragen. Sobald ein Dokument vom Server 
durch einen berechtigten Adressaten abgefordert und 
diesem zugestellt wurde, wird es auf dem Server ge- 
loscht (zunachst logisch, dann auch physisch) . Dies ist 
speziell im vorliegenden Anwendungsf all moglich, da die 

20 Daten jeweils nur fur einen Adressaten vorgesehen sind. 
Sollen die Daten mehreren Adressaten zuganglich sein, 
wird diese MaSnahme nicht vorgesehen. 

Alle Dokumente werden weiterhin mit einem 
Verfallsdatum versehen, nach dessen Ablauf sie eben- 

25 falls physisch geloscht werden. Damit entsteht keine 
Akkumulation von Daten auf dem Server, womit auch die 
Zusammenfuhrung von unterschiedlichen Dokumenten, die 
etwas uber einen Patienten oder auch iiber einen Arzt 
aussagen konnten, unmoglich gemacht wird. Die Identi- 

30 fikation der Dokumente erfolgt liber eine einmalig nur 
fur diesen Kommunikationsvorgang vergebene Vorgangs-ID, 
die keinen Ruckschluft auf den Patienten zula£t. Diese 
ID muS dem anfordernden Arzt bekannt sein, und wird ihm 
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vorzugsweise mit dem zugehorigen Papierdokument durch 
den Patienten iibermittelt. 

Zusatzlich zu den oben beschriebenen Sicherheits- 
5 mafcnahmen werden alle Daten fur die Ubertragung und 
Speicherung verschlusselt und signiert. Dazu werden 
kryptographische Standardverf ahren mit sicherem Aus- 
tausch von Schlusseln, beispielsweise entsprechend 
X.509, eingesetzt. Dabei handelt es sich urn sym- 

10 metrische Verschlusselungsverf ahren wie Triple DES, 
"blowfish" oder IDEA fur die Verschliisselung groSer 
Datenmengen und asymmetrische Verschlusselungsverf ahren 
wie RSA oder elliptische Verschlusselungsverf ahren fur 
die digitale Signatur (Verschliisselung eines Hash- 

15 Wertes) und die Verschliisselung des symmetrischen 
Session-Keys . 

Zur Sicherung der Authentizi tat und Integritat der 
ubertragenen Daten wird jedes Dokument vor dem Versand 

20 mit dem privaten Schlussel des Absenders, im vorliegen- 
den Fall des iiberweisenden Arztes, signiert. Dazu wird 
ein Hash-Wert ermittelt und dieser mit dem privaten 
Schlussel des Absenders asymmetrisch verschlusselt. Die 
Signatur des Dokumentes bleibt auch nach dem Entschlus- 

25 seln (siehe nachfolgende Schritte) erhalten und steht 
somit fur den forensisch relevanten Nachweis der Echt- 
heit des Dokumentes zur Verfiigung. Voraussetzung fur 
den Nachweis der Echtheit ist allerdings, da£ das 
Dokument beim Empf anger in der signierten Form ge- 

30 speichert wird, gegebenenf alls zusatzlich zur lesbaren 
Version ohne Signatur. Ein getrenntes Speichern von 
Dokument und Signatur ist moglich, birgt jedoch die 
Gefahr, da£ durch ungewollte Modifikation des Dokumen- 
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tes - z.B. beim Offnen im Textverarbeitungs system - die 
Signatur ungultig wird. Die Archivierung des Dokuments 
obliegt dem Empf anger. 

5 Die Einzeldokumente werden mit einem zufallig 

generierten Schlussel (Session-Key) der Lange N (N 
sollte aus Sicherheitsgrunden grofier oder gleich 12 8 
sein) symmetrisch verschliisselt. Der zum Verschliisseln 
verwendete Session-Key wird mit dem offentlichen 
10 Schlussel des Servers, d.h. der am Server installierten 
erf indungsgema£en Vorrichtung, verschliisselt . Die 
Schliissellange sollte aus Sicherheitsgrunden mindestens 
1024 Bit betragen. 

15 Da das Dokument inklusive Signatur verschliisselt 

wird, kann der Server ohne Entschliisselung der Daten 
die Echtheit des Dokumentes - auch im Sinne seiner 
fehlerfreien Ubertragung und seiner Existenz an sich 
(elektronisches "Einschreiben" ) - nicht uberpriifen. Urn 

20 dies zu ermoglichen, wird das signierte und verschliis- 
selte Dokument nochmals zusatzlich signiert. 

Das wie oben beschrieben vorbereitete Dokument 
wird als MIME-kompatibles File aufbereitet und in 

2 5 dieser Form mittels eines entsprechenden RPC an den 

Server iibermittelt . 

Auf dem Server wird das Dokument aus dem MIME- 
Format entpackt und die auSere Signatur kontrolliert 

3 0 und dabei entfernt. Damit wird die Unversehrtheit , d.h. 

die Vollstandigkeit und Originalitat , des Dokumentes 
iiberpriift und kann protokolliert werden. Nach erfolgter 
Ablage des (verschlusselten) Dokumentes wird eine vom 
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Server mit dessen personlichem Schlussel signierte 
Empf angsbestatigung an den Absender zuriickgegeben als 
zweifelsf reier Nachweis der erfolgten Ablage des 
Dokumentes . 

5 

Das weiterzuleitende Dokument wird auf dem Server 
in der (innen) signierten und dann verschliisselten Form 
gespeichert. In dieser verschliisselten Form ist es von 
niemandem zu entschliisseln . 

10 Als Ablage- bzw. Zugrif f skriterium zum Verwalten 

des verschliisselten Dokuments dient eine unverschliis- 
selt mitgelief erte Vorgangs-ID, die zu jedem Vorgang 
gehort. Diese Vorgangs-ID, wird, wie bereits oben 
dargelegt, dem spater durch den Patienten ausgewahlten 

15 Arzt durch diesen auf direktem Wege iibermittelt. Fiir 
den Server ist diese ID aus der iibersandten Datenan- 
forderung ersichtlich, deren Bestandteil sie ist, 

Daten konnen vom Server durch Mitglieder des 
20 jeweiligen Netzes unter Angabe dieser jeweiligen 

Vorgangs-ID, ihrer ISDN-Nummer und ihrer Arztkennung 
angefordert werden. 

Zur weiteren Erhohung der Sicherheit konnen 
zusatzliche Identif ikatoren, z.B zur Kennzeichnung des 
2 5 jeweiligen Patienten, notwendig sein. 

Bei der Anforderung der Daten durch den betref fen- 
den Facharzt erfolgt eine Umschlusselung der Daten 
durch die erf indungsgemaSe Vorrichtung, so dafi sie fur 
30 einen den anfordernden Arzt lesbar werden. Dazu wird 
der fiir die symmetrische Verschlusselung der Daten 
verwendete Session-Key mit dem im Server vorhandenen 
privaten Schlussel des Servers entschlusselt und sofort 
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wieder mit dem offentlichen Schlussel des anfordernden 
Empfangers verschlusselt-. Dieser offentliche Schlussel 
ist - zusammen mit der Arzt-ID und der ISDN-Nummer - im 
Verzeichnis der beteiligten Netzarzte gespeichert und 
5 kann uber die Dienste eines einbezogenen Trust-Centers 
jederzeit aktualisiert werden. 

Ein Entschliisseln der medizinischen Daten selbst 
ist nicht notwendig. Zum spateren Entschliisseln der 
Daten muS nur der - jetzt fur den Empf anger lesbare - 

10 Session-Key bekannt sein, der bei der Verschlusselung 
per Zufall generiert wurde . 

Auf diese Weise wird vermieden, daS die medizi- 
nischen Daten selbst zu irgendeinem Zeitpunkt auf dem 
Server in unverschlusselter Form vorliegen. Auf die 

15 verschliisselten Daten erfolgt wahrend des Umschliis- 
selungsprozesses keinerlei Zugriff. Verarbeitet wird 
lediglich der fur Ihre Verschlusselung verwendete 
Session-Key, der in einem geschlossenen ProzeS aus 
einer nur fur den Server lesbaren in eine fur den 

20 Anfordernden lesbare Form "umgeschlusselt " wird. 

Das fur den Versand an den Empf anger verschliis- 
selte Dokument wird nochmals zur Sicherung der korrek- 
ten Ubertragung zum Empf anger und einer eventuell 
25 gewunschten Protokollierung signiert, und zwar durch 
den Server mit dessen personlichem Schlussel. 

Das wie oben beschrieben vorbereitete Dokument 
wird wiederum als MIME-kompatibles File aufbereitet und 
30 in dieser Form als Ruckgabewert eines RPC zur Daten- 
anforderung an den Anforderer geschickt. 



4 
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Beim Empfanger wird das Dokument aus dem MIME- 
Format entpackt und die auEere Signatur kontrolliert 
und dabei entfernt. Damit wird wiederum die Unversehrt- 
heit, d.h. Vollstandigkeit und Originalitat , des 
5 Dokumentes iiberpruft. Eine vom Empfanger mit dessen 
personlichem Schlussel signierte Empf angsbestatigung 
wird an den Server zuriickgegeben als zweif elsf reier 
Nachweis der erfolgten Ubermittlung des Dokumentes. 

10 Mittels des personlichen Schlussels des Empfangers 

kann dieser den verschliisselten Session-Key entschliis- 
seln und rait diesem wiederum die Daten selbst. Danach 
liegen diese lesbar nur noch in der durch den Absender 
signierten Form vor. 

15 

Die Signatur des Ausgangsdokumentes dient der 
Nachweisbarkeit seiner Originalitat. Urn diese zu 
erhalten ist es notwendig, das Dokument in der sig- 
nierten Form auf zubewahren. 

20 

Ein mdglicher Angrif f spunkt auf die Daten ist der 
private Schlussel des Servers. Da alle eingelagerten 
Daten - genauer gesagt alle Session-Keys der einge- 
lagerten Daten - mit demselben Schlussel des Servers 

25 lesbar sind, lohnt sich ein Angriff auf diesen 

Schlussel einerseits besonders, andererseits wird er 
durch die Menge vorliegender Daten erleichtert. 

Um diesem Umstand vorzubeugen, wird bei einer 
bevorzugten Aus fuhrungs form der vorliegenden Erfindung 

30 als zusatzlicher Sicherheitsmechanismus eine Zwei- 
teilung des Session-Keys eingefuhrt. 
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Wie weiter oben beschrieben, werden die Ursprungs- 
daten mit einem N-stelligen (N vorzugsweise groteer Oder 
gleich 128) symmetrischen Schlussel verschliisselt. 
Dieser Schlussel wird iiblicherweise fur die Ubertragung 
5 asymmetrisch und nur fiir den Empfanger lesbar ver- 
schliisselt. Die - auch gewaltsame - Entschlusselung des 
Session-Keys reicht damit aus, urn die Daten selbst 
entschlusseln zu konnen. 

Urn dies zu verhindern, wird folgende Modif ikation 
eingefuhrt. Bei dieser Modif ikation wird der Session- 
Key vor seiner asymmetrischen Verschliisselung zweige- 
teilt. Beispielsweise werden M (0 < M < N) der N Bits 
des Session-Keys als sogenannter " Vorgangsschliissel " 
herausgelost . Nur die verbleibenden (N-M) Bits des 
Session-Keys werden asymmetrisch verschliisselt und mit 
den Daten tibertragen. 

Die Umschlusselung der Daten mit reduziertem 
Session-Key kann in genau derselben Weise erfolgen, wie 
oben in Zusammenhang mit einem vollstandigen Session- 
Key beschrieben. Da die Daten selbst auch dort nie 
entschliisselt werden miissen, ist der vollstandige 
Session-Key nicht notwendig. Es wird lediglich der 
rudimentare Session-Key durch den Server entschliisselt 
und fiir den Anforderer wieder verschliisselt. 

Die Entschliisselung beim Empfanger unterscheidet 
sich von der oben beschriebenen Vorgehensweise dahin- 
gehend, daS nach der Entschlusselung des Session-Keys 
30 mittels privatem Schlussel des Empfangers dieser 

Session-Key urn die beim Absender separierten M Bits des 
Vorgangsschliissel s erweitert werden mu£. Danach kann 
die Entschliisselung wie oben dargestellt erfolgen. 



15 



20 
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Der beim Absender der Daten erzeugte Vorgangs- 
schlussel, d.h. die separierten M Bits, wird an die 
ebenfalls dort erzeugte Vorgangs-ID angefiigt. Die 
5 Kombination. von Vorgangs-ID und Vorgangsschlussel 

ergibt die sogenannte Vorgangskennung, die auf dem den 
Vorgang begleitenden Papierdokument (Uberweisungschein, 
Einweisungsschein, Rezept, ...) aufgedruckt und beim 
Empf anger erfaSt wird. Der in der Vorgangskennung 
10 enthaltene Vorgangsschlussel wird niemals zum Server 
ubertragen, so daS dort nie alle Inf ormationen 
zusammenkommen, die ausreichen wiirden, um ein Dokument 
tatsachlich zu entschlusseln. 

15 Ein Beispiel fur eine erf indungsgema&e Vor- 

richtung, wie sie fur die Durchfuhrung des obigen 
Anwendungsbeispiels eingesetzt wird, ist in Figur 1 
dargestellt . 

Die Vorrichtung ist vorzugsweise in Form eines 

20 Einsteckmoduls 1 (Umschlusselungsmodul ) zum modularen 
Einbau in den Server ausgebildet. Das Modul 1 bein- 
haltet im vorliegenden Beispiel eine Chipkarte 2, die 
die Entschlusselung des verschliisselten Session-Keys 
10a mit Hilfe des in der Chipkarte 2 gespeicherten 

25 privaten Schlussels des Servers und die erneute Ver- 
schlusselung des Session-Keys mit dem Gffentlichen 
Schlussel des Adressaten bzw. Anfordernden der Daten 
vornimmt. Der private Schlussel des Servers ist dabei 
von auSerhalb der Chipkarte bzw. des Moduls nicht zu- 

30 ganglich. Der offentliche Schlussel des Anfordernden 

wird der Vorrichtung 1, ebenso wie der umzuschliisselnde 
Session-Key 10a uber eine dafur vorgesehene Schnitt- 



WO 00/59155 PCT/DE00/00189 



- 17 - 



stelle zugefiihrt. Uber eine weitere Schnittstelle wird 
der neu verschlusselte Session-Key 10b ausgegeben. 

Der Prozessor des Servers selbst iibernimmt hierbei 
die Aufgabe, den Session-Key 10a von dem verschliissel- 
5 ten Datenblock 11 abzutrennen, der Vorrichtung 1 zuzu- 
fuhren und den von der Vorrichtung gelieferten, neu 
verschlusselten bzw. umgeschlusselten Session-Key 10b 
wieder an den Datenblock 11 anzufiigen, wie in der Figur 
schematisch dargestellt ist. 
10 Es ist allerdings auch moglich, diese Trennung und 

erneute Zusammenfiihrung direkt in der Vorrichtung 1 
vorzunehmen. Hierbei miifcte der Vorrichtung der gesamte 
Datenblock 11 mit dem Session-Key 10a zugefiihrt werden. 

15 Der personliche Schlussel des Servers ist 

zweifelsohne ein problematischer Punkt im Hinblick auf 
gezielte unberechtigte Zugrif f sversuche auf die Daten. 

Ublicherweise diirfen bzw. sollten Schlussel nicht 
auf dem Rechner gespeichert werden, auf dem die 

20 verschlusselten Daten gespeichert bzw. bearbeitet 

werden. Dies ist jedoch bei automatischer Arbeit des 
Servers, wie im vorliegenden Fall, unumganglich. Aus 
diesem Grunde ist im vorliegenden Aus fiihrungsbei spiel 
vorgesehen, die Vorrichtung als gekapselte und plom- 

25 bierte Einheit auszugestalten, die in der Lage ist, die' 
vollstandige Prozedur der Datenumschliisselung intern zu 
handhaben, ohne daS der ent schlussel te (auch rudimen- 
tare) Session-Key oder auch nur Spuren seiner Ent- 
schlusselung die autonome Einheit verlassen. 

30 

Heutzutage sind bereits Schlusselkarten am Markt 
verfiigbar, die in der Lage sind, die asymmetrische 
Verschliisselung eines 128 Bit Session-Keys nach einem 
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1024 Bit RSA-Verfahren vollstandig auf dem Chip der 
Karte auszufuhren. Demnachst werden solche Karten auch 
fiir 2048 Bit Schlussel zur Verfiigung stehen. 
Insbesondere besteht die Moglichkeit, das Schlusselpaar 
5 (of f entlicher Schlussel - privater Schlussel) direkt 
auf der Karte oder in einem gesetzeskonf ormen, zertifi- 
zierten Trust-Center generieren zu lassen, ohne daS der 
private Schlussel der Karte diese jemals verlafit. Eine 
solche Schlusselkarte kann in der erf indungsgemaSen 

10 Vorrichtung als Chipkarte 2 eingesetzt werden. Hierbei 
wird dieser Karte 2 in einem ersten Schritt zunachst 
der verschlusselte Session-Key 10a zugef uhrt . Dieser 
wird mit Hilfe des privaten Schlussels des Karte, 
weiter oben als der private Schlussel des Servers 

15 bezeichnet, entschliisselt . Der entschlusselte Session- 
Key wird von der Karte 2 ausgegeben, ohne die Vor- 
richtung 1 jedoch zu verlassen. Er wird vielmehr in 
einem zweiten Schritt der Karte 2 erneut, diesmal 
zusammen mit dem offentlichen Schlussel des Adressaten 

20 eingegeben. Die Karte 2 liefert in diesem zweiten 

Schritt den neu verschlusselten Session-Key 10b zuruck. 
Dies ist schematisch durch die Pfeile innerhalb der 
Vorrichtung 1 in der Figur angedeutet . Die hierfur 
zusatzlich erf orderliche Schaltung, Puf f er-Einheit 4, 

2 5 dient u.a. zur zeitlichen Koordination dieser Vorgange. 

Diese Puf f er-Einheit 4 kann beispielsweise durch einen 
geeignet programmierten Mikroprozessor oder mittels 
einer Logikschaltung realisiert werden. 

3 0 Urn zu verhindern, daS aus Modulationen auf der 

Stromversorgung der Vorrichtung Ruckschlusse auf die 
internen Ablaufe moglich sind, ist in der vorliegenden 
Aus fiihrungs form der Vorrichtung eine Konstant- 
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stromschaltung 3 vorgesehen, die garantiert, date die 
Vorrichtung im Rahmen eines definierten Intervalls der 
Versorgimgsspannung eine konstante und modulationsf reie 
Stromaufnahme vorweist. Bei Unter- oder Uberschreiten 
5 bestimmter Grenzen der Betriebsspannung oder anderer 
Betriebsparameter, wie z.B. der Temperatur, schaltet 
sich die Vorrichtung mit einer Fehlermitteilung ab. 

Da auch aus dem Zeitverhalten der Vorrichtung 
10 Riickschlusse auf die internen Vorgange gezogen werden 
konnten, konnen alle Eingangsdaten zunachst in der 
Puf f er-Einheit 4 oder einer speziell dafiir vorgesehenen 
Einheit gepuffert, und nach einer standig gleichen Zeit 
die Ergebnisse ausgegeben werden, unabhangig davon, 
15 weiche Zeit die internen Ablaufe in Anspruch genommen 
haben . 

Ein "Abhoren" der elektromagnetischen Vorgange in 
der Vorrichtung wird im vorliegenden Ausfuhrungs- 

2 0 beispiel durch eine elektromagnetische Abschirmung 5 

der Vorrichtung verhindert . 

Als Schnittstelle der Vorrichtung ist einerseits 
eine Schnittstelle fur die Eingabe des asymmetrisch 
25 verschlusselten Session-Keys 10a (bzw. des Rudimentes 
dieses Schliissels) und des offentlichen Schlussels des 
anfordernden Empf angers vorgesehen. Andererseits mu£ 
eine Schnittstelle fur die Ausgabe des asymmetrisch 
verschlusselten Session-Keys 10b (bzw. dessen Rudiment) 

3 0 vorhanden sein. Beide Schnittstellen konnen bei 

geeigneter Ausfuhrung physikalisch identisch sein. 

Weiterhin konnen fur die Erzeugung bzw. 
Uberprufung von Signaturen Schnittstellen fur die 
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Eingabe des Hash-Wertes des zu signierenden Dokumentes 
und ftir die Ausgabe des symmetrisch verschliisselten 
Hash-Wertes, d.h. der Signatur vorgesehen sein. 

5 Obwohl die vorangehend beschriebenen MaSnahmen in 

Zusammenhang mit dem zugrunde liegenden Beispielfall 
dargestellt wurden, lassen sich dieses Konzept und die 
erf indungsgemafee Vorrichtung selbstverstandlich auch 
auf andere Bereiche anwenden, bei denen eine sichere 
10 Datentibertragung zwischen zwei Datenstationen iiber eine 
Zwischenlagerung auf einem Server erf orderlich ist. 

Weiterhin ist die Erfindung nicht auf die Weiter- 
leitung der Daten nur iiber eine Zwischenstation bzw. 

15 einen Server beschrankt. So konnen die Daten auch iiber 
mehrere Server geleitet werden, wobei der Abruf der 
Daten durch einen weiteren Server jeweils wie der Abruf 
durch einen Adressaten ausgefiihrt wird. Auf dem 
weiteren Server werden dann die Daten in gleicher Form 

20 wie auf dem ersten Server behandelt, d.h. auch dieser 
weitere Server mu£ die erf indungsgemaSe Vorrichtung 
aufweisen. 
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Patentanspriiche 

1. Vorrichtung fur die sichere Ubertragung bzw. 
Weiterleitung von verschliisselten Daten iiber eine 
Datenstation eines Netzwerkes, mit 
5 - einer Eingangseinheit zum Empfangen der verschliis- 
selten Daten (10a) sowie eines externen Schliissels, 

- einer Einheit (2) zum Entschliisseln der verschliissel- 
ten Daten rait einem internen Schliissel und zum erneuten 
Verschlusseln der Daten mit dem externen Schliissel, 

10 wobei der interne Schliissel von auSerhalb der Vor- 
richtung nicht zuganglich ist; und 

- einer Ausgangseinheit zum Ausgeben der mit dem 
externen Schliissel verschliisselten Daten (10b) . 

15 2. Vorrichtung nach Anspruch 1, 

dadurch gekennzeichnet , da£ der interne Schliissel 
innerhalb der Einheit (2) zum Entschliisseln und 
Verschlusseln auf einem geeigneten Datentrager 
gespeichert ist. 

20 

3. Vorrichtung nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, da£ die Einheit (2) zum 
Entschliisseln und Verschlusseln eine Chipkarte als 
TrSger des internen Schliissels umfaSt. 

25 

4 . Vorrichtung nach Anspruch 1 oder 2 , 
dadurch gekennzeichnet, daS die Einheit (2) zum 
Entschliisseln und Verschlusseln eine aktive Chipkarte 
mit integriertem Prozessor umfaSt, die die Ent- und 

30 Verschllisselung der Daten ganz oder teilweise 
ubernimmt . 
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5. Vorrichtung nach einem der Anspriiche 1 bis 4, 
dadurch gekennzeichnet, da£ sie eine Puffer- und Logik- 
Einheit (4) zur zeitlichen Steuerung des Datenflusses 
in der Vorrichtung aufweist, die der Einheit (2) zum 

5 Entschliisseln und Verschlusseln zunachst die verschliis- 
selten Daten (10a) zur Entschlusselung zufiihrt und 
entschlusselt zuriickerhalt , und die anschlieBend der 
Einheit (2) zum Entschlusseln und Verschlusseln die 
entschlusselten Daten zur Verschliisselung mit dem 
10 externen Schliissel zufiihrt und als verschlusselte Daten 
(10b) zuriickerhalt . 

6. Vorrichtung nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, dafi die Eingangseinheit und die 

15 Ausgangseinheit Standardschnittstellen fur die Ein- und 
Ausgabe der Daten aufweisen. 

7. Vorrichtung nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, daS die Einheit (2) zuin 

20 Entschlusseln und Verschlusseln asymmetrische 
Verschlusselungsverf ahren einsetzt . 

8. Vorrichtung nach einem der Anspriiche 1 bis 7, 
dadurch gekennzeichnet, daS sie mit einer vollstandigen 

2 5 mechanischen urid elektromagnetischen Kapselung (5) und 
mit einer Moglichkeit zur Versiegelung versehen ist. 

9. Vorrichtung nach einem der Anspruche 1 bis 8, 
dadurch gekennzeichnet, dag eine Puf f er-Einheit 

30 vorgesehen ist, die alle Datenstrome innerhalb der 

Vorrichtung zum Ausgleich von eventuell vom internen 
Schliissel abhangigen Verarbeitungszeiten puffert, so 
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da£ die Ausgabe der Daten der Vorrichtung nach einer 
prozefrunabhangigen Zeitspanne erfolgt. 

10. Vorrichtung nach einem der Anspruche 1 bis 9, 
5 dadurch gekennzeichnet , daS eine Einheit (3) zum 

Puffern der Stromauf nahme der Vorrichtung vorgesehen 
ist, so dafi die Stromauf nahme der Vorrichtung 
unabhangig von der vom internen Schliissel abhangigen 
Stromauf nahme der Einheit (2) zum Entschliisseln und 
10 Verschliisseln oder weiterer interner Schaltkreise ist. 

11. Vorrichtung nach einem der Anspruche 1 bis 10, 
die weiterhin eine Einheit zum Empfangen eines ersten 
Datenblockes, der die verschliisselten Daten (10a) neberi 

15 weiteren Daten (11) beinhaltet, und zum Abtrennen der 
verschliisselten . Daten (10a) von den weiteren Daten (11) 
sowie eine Einheit zum Zusammenf uhren der weiteren 
Daten (11) mit den erneut verschliisselten Daten (10b) 
zu einem zweiten Datenblock und zur Ausgabe des zweiten 

20 Datenblockes aufweist, wobei die verschliisselten Daten 
einen Schliissel darstellen, mit dem die weiteren Daten 
(11) verschlusselt sind. 

12. Verfahren fur die sichere Ubertragung von Daten 
25 von einer ersten Datenstation iiber eine zweite Daten- 

station zu einer dritten Datenstation unter Einsatz der 
Vorrichtung gemaS einem der vorangehenden Anspruche, 
mit folgenden Schritten: 

- Verschliisseln der Daten in der ersten Datenstation 
30 mit einem ersten Schliissel; 

Verschliisseln zumindest eines Teils des ersten 
Schliissels in der ersten Datenstation mit einem 
offentlichen Schliissel der zweiten Datenstation; 
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- Ubermitteln der verschliisselten Daten (11) zusammen 
mit dem verschliisselten Teil des ersten Schliissels 
(10a) an die zweite Datenstation; 

- Speichern der verschliisselten Daten (11) und des 

5 verschliisselten Teils des ersten Schliissels (10a) in 
der zweiten Datenstation; 

- Anfordern der Daten durch die dritte Datenstation; 

- Entschlusseln des verschliisselten Teils des ersten 
Schliissels in der zweiten Datenstation mit einem zum 

10 offentlichen Schliissel passenden privaten Schlussel der 
zweiten Datenstation und erneutes Verschliisseln des 
vorher entschlusselten Teils des ersten Schliissels mit 
einem offentlichen Schlussel der dritten Datenstation; 
und 

15 - Ubermitteln der verschliisselten Daten (11) zusammen 
mit dem erneut verschliisselten Teil des ersten 
Schliissels (10b) an die dritte Datenstation. 

13. Verfahren nach Anspruch 12, wobei der erste 

20 Schlussel vollstandig verschliisselt und iibermittelt 
wird. 

14. Verfahren nach Anspruch 12, wobei nur ein Teil des 
ersten Schliissels verschliisselt und an die zweite 

25 Datenstation iibermittelt wird. 

15. Verfahren nach einem der Anspruche 12 bis 14, 
wobei der verschliisselte Teil des ersten Schliissels in 
der dritten Datenstation mit dem privaten Schlussel der 

30 dritten Datenstation entschliisselt wird, und 

anschlieftend die Daten (11) mit dem ersten Schlussel 
entschliisselt werden. 
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16. Verfahren nach einem der Anspriiche 12 bis 15, 
wobei der offentliche Schliissel der dritten Daten- 
station aus einer internen Datenbank der zweiten 
Datenstation entnommen oder durch Riickfrage bei einem 
5 Trust-Center ermittelt wird. 
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